文档介绍:2015 NSFOCUS Cloud Security Solution
2015绿盟科技云安全解决方案
目录
一云计算典型体系结构 1
云计算系统分类 1
云计算系统典型物理架构 1
云计算系统逻辑结构 2
二云计算安全威胁和需求分析 3
安全威胁分析 4
安全需求和挑战 5
三云安全防护总体架构设计 5
设计思路 5
安全保障目标 6
安全保障体系框架 6
安全保障体系总体技术实现架构设计 7
四云平台安全域划分和防护设计 9
安全域划分 9
安全防护设计 13
五云计算安全防护方案的演进 24
虚拟化环境中的安全防护措施部署 24
软件定义安全体系架构 24
安全运营 28
六云安全技术服务 28
私有云安全评估和加固 28
私有云平台安全设计咨询服务 29
七云安全解决方案 33
作者和贡献者 33
关注云安全解决方案 34
八关于绿盟科技 34
�图表
2
3
6
7
8
10
11
13
14
16
18
19
21
22
22
25
25
26
27
28
30
31
32
关键信息
本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑战,进而对云安全防护总体架构,包括保障内容和实现机制、部署方法进行了设计和详细阐述,并介绍了云安全相关的安全技术服务内容和范围,最后给出了典型的云安全防护场景。
其中关于软件定义安全体系架构,在之前发布的《2015绿盟科技软件定义安全SDS白皮书》中有详述。
“
随着云计算技术的不断完善和发展,云计算已经得到了广泛的认可和接收,许多组织已经或即将进行云计算系统建设。同时,以信息/服务为中心的模式深入人心,大量的应用正如雨后春笋般出现,组织也开始将传统的应用向云中迁移。同时,云计算技术仍处于不断发展和演进,系统更加开放和易用,功能更加强大和丰富,接口更加规范和开放。例如软件定义网络(简称SDN)技术、NFV(网络功能虚拟化)等新技术。这必将推动云计算技术的更加普及和完善。
云计算技术给传统的IT基础设施、应用、数据以及IT运营管理都带来了革命性改变,对于安全管理来说,既是挑战,也是机遇。首先,作为新技术,云计算引入了新的威胁和风险,进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系,如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等方面;其次,云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防护,同时也给安全措施改进和升级、安全应用设计和实现、安全运维和管理等带来了问题和挑战,也推进了安全服务内容、实现机制和交付方式的创新和发展。
根据调研数据,信息安全风险是客户采用云计算所考虑重大问题之一,且国家和行业安全监管愈加严格,安全已经成为组织规划、设计、建设和使用云计算系统而急需解决的重大问题之一,尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云计算系统安全保障问题。
本方案基于绿盟科技长期对云计算安全的探索和研究,借鉴行业最佳实践,结合绿盟科技近期云计算安全建设经验,提出了云计算安全保障框架和方法。
云计算典型体系结构
云计算主要是通过网络,将IT以抽象化的方式交付给客户,为基于IT的服务交付模式带来了巨大变革。云计算的一些独特优势,使其广为接受,包括:大规模资源池化、资源弹性、按需分配、自动化部署、高可靠性、高运营效率及技术和IT的高透明度。
云计算平台的实现主要包括两个方式:虚拟化构成的云和应用程序/服务器构成的云,其中后者的安全防护与传统方式基本相同,不再赘言,这里主要对虚拟化构成的云进行讨论。
目前,计算虚拟化已经成熟,并为组织所广泛采用,如VMware vSphere、Citrix Xen等。另外